Политики безопасности компании при работе в Интернет, Петренко Сергей Александрович

Политики безопасности компании при работе в Интернет

на обложку

Петренко Сергей Александрович

Шрифт:

Область действия Эта политика применяется ко всему программному обеспечению, с помощью которого осуществляется доступ к базам данных компании.

Суть политики

Общие положения. Для поддержания необходимого уровня безопасности доступ посредством программного обеспечения к базе данных должен разрешаться только после соответствующей аутентификации. Атрибуты, используемые для аутентификации, нельзя размещать в коде программы в незашифрованном виде. Атрибуты доступа к базе данных не должны быть доступны через Web-cepeep.

Специфические требования:

хранение учетных записей и паролей:

– учетные записи и пароли для доступа к базе данных должны храниться в файле отдельно от кода программы. Доступ к этому файлу должен быть строго ограничен;

– учетные записи и пароли для доступа к базе данных могут храниться на сервере баз данных. В этом случае хеш от пароля может храниться в выполняемом теле программы;

– учетные записи и пароли для доступа к базе данных могут храниться как часть данных на сервере аутентификации, таком, как LDAP. Аутентификация доступа к базе данных может проходить как часть общей аутентификации в системе;

– учетные записи и пароли для доступа к базе данных нельзя размещать в дереве документов Web-cepeepa;

– прямой доступ через аутентификацию (например, ORACLE OPSS) не должен разрешать работу с базой данных, основываясь только на аутентификации удаленного пользователя на удаленном компьютере;

– пароли и ключевые фразы, используемые для доступа, должны соответствовать требованиям политики использования паролей;

восстановление учетных записей и паролей:

– если учетная запись и пароль хранятся не в исходном коде программы, то они должны быть считаны из файла непосредственно перед использованием. Сразу после аутентификации область памяти, в которой они размещались, должна быть очищена;

– область, в которой хранятся учетная запись и пароль, должна быть физически отделена от других областей кода, то есть размещаться в отдельном файле;

– для языков программирования, которые выполняются непосредственно из исходного кода (интерпретируемые языки), файл, хранящий учетные записи и пароли, не должен размещаться в той же просматриваемой или выполняемой директории, в которой размещается код программы;

доступ к учетным записям и паролям:

– каждая программа или несколько программ, выполняющих одну функциональную задачу, должны иметь уникальную базу учетных записей и паролей. Использование одной и той же базы учетных записей и паролей для нескольких программ запрещено;

– пароли доступа к базам данных в соответствии с политикой использования паролей считаются паролями системного уровня;

– разработчики должны определить процедуру, гарантирующую, что пароли управляются и изменяются в соответствии с политикой использования паролей. Эта процедура должна включать метод ограничения знания паролей для доступа к базе данных на основе правила «необходимо знать»;

• техники кодирования для реализации этой политики (добавьте ссылки к различным языкам кодирования, рекомендованным в вашей компании, таким, как Perl, Java, С и С++).

Ответственность Любой сотрудник, нарушивший эту политику, может быть подвергнут дисциплинарным мерам, вплоть до увольнения.

Термины и определения

Компьютерный язык – язык, используемый для написания программ.

Атрибуты доступа – что-то, что вы знаете (пароль или ключевая фраза), и/или что-то, что определяет вас (учетная запись, отпечатки пальцев, сетчатка глаза).

Роль – уровень привилегий, который может быть аутентифицирован и авторизован. Уровень привилегий, на основе которого осуществляется доступ к ресурсам.

Тело выполнения – серия инструкций компьютеру, которые он выполняет для реализации логики программы.

15. Политика безопасности лаборатории демилитаризованной зоны

Цель

Эта политика устанавливает требования по информационной безопасности для всех сетей и оборудования, расположенных в демилитаризованной зоне. Выполнение этих требований минимизирует потенциальный риск компании от нанесения ущерба путем получения неавторизованного доступа к ресурсам компании, потери конфиденциальной информации и интеллектуальной собственности компании.

Область действия Субъекты действия этой политики – лабораторные сети и устройства компании (например, маршрутизаторы, коммутаторы, компьютеры и т. д.), которые доступны из Интернета и размещающиеся за пределами корпоративного межсетевого экрана. Сюда же входят лаборатории, находящиеся у поставщика услуг Интернета и в удаленных местах расположения. Все существующее и будущее оборудование, которое подпадает под область действия данной политики, должно быть сконфигурировано в соответствии с этим документом. Данная политика неприменима к лабораториям, размещающимся внутри корпоративного межсетевого экрана. Стандарты для такого оборудования описаны в политике безопасности внутренней лаборатории.

Суть политики

Владение и ответственность:

• все новые лаборатории демилитаризованной зоны должны иметь письменное обоснование их создания за подписью вице-президента. Обоснования хранятся в отделе информационной безопасности;

• компании, организующие лаборатории, должны определить ответственных менеджеров, основных и резервных контактных лиц для каждой лаборатории. Владельцы лабораторий должны поддерживать список этой информации в актуальном состоянии. Список хранится в отделе информационной безопасности (и в системе управления компанией, если такая существует). Менеджеры лабораторий или резервные контактные лица должны быть доступны круглосуточно;

• должно быть получено разрешение от отдела поддержки сети и отдела информационной безопасности для внесения изменений в схемы подключений и/или задачи существующих лабораторий, а также для создания новых лабораторий;

• все подключения к поставщикам интернет-услуг должны поддерживаться отделом поддержки сети;

• отдел поддержки сети отвечает за поддержку функционирования межсетевого экрана между демилитаризованной зоной и Интернетом;

• отдел поддержки сети и отдел информационной безопасности имеют право заблокировать любые соединения к/от оборудованию лабораторий, если это несет угрозу безопасности сети компании;

• сотрудники лаборатории демилитаризованной зоны поддерживают функционирование всех устройств, расположенных в демилитаризованной зоне до границы зоны ответственности отдела поддержки сети;

• отдел поддержки сети должен иметь список всех IP-адресов и ответственных за оборудование лиц лаборатории демилитаризованной зоны (такой же список хранится в системе управления компанией, если такая существует);

• менеджеры демилитаризованной лаборатории несут полную ответственность за нее в соответствии с этой политикой;

• в соответствии с политикой аудита уязвимостей отделу поддержки сети и отделу информационной безопасности должен при необходимости предоставляться немедленный доступ к оборудованию и журналам оборудования демилитаризованной зоны;

• тестовые учетные записи должны быть удалены в течение трех дней после того, как доступ станет ненужным. Пароли на групповые учетные записи должны быть изменены в течение трех дней после изменения состава членов группы;

• отдел информационной безопасности будет разбирать каждый случай отказа в доступе.

Основные требования к конфигурации:

• производственная сеть компании не должна зависеть от сетей лаборатории демилитаризованной зоны;

• лаборатории демилитаризованной зоны не должны иметь соединений с внутренней сетью компании напрямую или через беспроводную сеть

• оборудование лабораторий демилитаризованной зоны должно быть размещено в серверных, физически отделенных от оборудования внутренних сетей компании. Если это невозможно, то данное оборудование должно размещаться в запираемой на ключ серверной стойке. Менеджер лаборатории должен иметь у себя список, в котором указаны лица, имеющие доступ к оборудованию;

• менеджер лаборатории отвечает за выполнение следующих политик:

– политики использования паролей,

– политики беспроводного доступа в сеть компании,

– политики лаборатории антивирусной защиты;

• отдел поддержки сети, поддерживающий функционирование межсетевых экранов, должен сконфигурировать их в соответствии с принципами наименьшего доступа и обеспечения функционирования лаборатории демилитаризованной зоны. Все списки доступа утверждаются отделом информационной безопасности;

• межсетевой экран должен быть единственной точкой доступа между лабораторией и внутренней сетью компании и/или Интернетом. Все другие способы подключения запрещены;

• начальная конфигурация и любые последующие изменения межсетевых экранов должны быть исследованы и одобрены отделом информационной безопасности. Отдел информационной безопасности может затребовать дополнительные настройки безопасности на межсетевых экранах;

• трафик из лаборатории демилитаризованной зоны во внутреннюю сеть компании, включая доступ посредством частной виртуальной сети, попадает под действие политики удаленного доступа;

• все маршрутизаторы и коммутаторы, не используемые для тестирования и/или обучения, должны быть настроены в соответствии со стандартами для маршрутизатора демилитаризованной зоны и коммутатора демилитаризованной зоны;

• операционные системы всех компьютеров внутри лаборатории демилитаризованной зоны, на которых выполняются интернет-сервисы (HTTP, FTP, SMTP и т. д.), должны быть сконфигурированы в соответствии со стандартом компьютеров демилитаризованной зоны (добавьте здесь ссылку на внутренний сайт, где находятся стандарты конфигураций);

• должны быть установлены все текущие сервисные пакеты и обновления, рекомендованные производителем для всех приложений и операционных систем. Администраторы должны иметь возможность устанавливать появляющиеся обновления быстро и эффективно;

• сервисы и приложения, не используемые для работы, должны быть отключены/деинсталлированы;

• в соответствии с политикой классификации информации запрещается размещать и хранить конфиденциальную информацию на оборудовании лаборатории демилитаризованной зоны, к которому имеют физический доступ сотрудники сторонних организаций;

• удаленное администрирование должно осуществляться по защищенным протоколам (SSH, IPSEC) или через консольный доступ.

Термины и определения

Списки доступа (АСЕ) – списки, хранимые на маршрутизаторах, коммутаторах, межсетевых экранах и регулирующие доступ к сервисам и приложениям.

Демилитаризованная зона – сеть, размещающаяся за пределами внутренней корпоративной сети, но находящаяся под управлением компании.

Отдел поддержки сети – любая утвержденная отделом информационной безопасности группа, управляющая внутренними сетями компании.

Принцип наименьшего доступа – доступ к сервисам, компьютерам, сетям запрещен, если только это не является необходимым для выполнения обязанностей.

Интернет-сервисы – сервисы, выполняющиеся на устройствах, доступных из-за пределов сети. К ним относятся FTP, DNS, HTTP и т. д.

Граница ответственности отдела поддержки сети – точка, в которой ответственность за поддержку сети переходит от отдела поддержки сети к сотрудникам лаборатории демилитаризованной зоны. Обычно это маршрутизатор или межсетевой экран.

Менеджер лаборатории – сотрудник, ответственный за всю лабораторию и ее персонал.

Лаборатория – сотрудники, оборудование и программное обеспечение, объединенные для разработки, тестирования, демонстрирования продуктов и услуг и обучения пользованию ими.

Межсетевой экран – устройство, контролирующее доступ между сетями, такое, как Cisco PIX, маршрутизатор со списками доступа, или подобное устройство, определенное отделом информационной безопасности.

Внутренняя лаборатория – лаборатория внутри корпоративного межсетевого экрана, подключенная к производственной сети компании.

16. Политика безопасности внутренней лаборатории

Цель

Эта политика устанавливает требования по информационной безопасности для всех лабораторий компании с целью обеспечения гарантий неразглашения конфиденциальной информации и технологий, а также для гарантии, что производственные сервисы и другие интересы компании защищены от действий, выполняемых в лабораториях.

Область действия Эта политика применима ко всем внутренним лабораториям, сотрудникам компании и сторонних организаций, имеющим доступ в лаборатории компании. Все существующее и будущее оборудование, которое подпадает под действие данной политики, должно быть сконфигурировано в соответствии с перечисленными ниже документами. Лаборатории демилитаризованной зоны и отдельные сети, не подключенные к сети компании, не подпадают под действие этой политики.

Суть политики

Владение и ответственность:

• менеджеры лабораторий несут ответственность за безопасность их лабораторий и воздействие деятельности лабораторий на производственную сеть компании. Если какая-либо политика или процедура недоступна, то менеджеры должны следовать принципам наибольшей защищенности сети компании;

• менеджеры лабораторий несут ответственность за соответствие лаборатории всем политикам безопасности компании. Следующие политики особенно важны: политика использования паролей, политика беспроводного доступа в сеть компании, политика лаборатории антивирусной защиты и политика физической безопасности;

• менеджеры лабораторий несут ответственность за организацию доступа в лабораторию. Разрешение на доступ в лабораторию выдает только менеджер или лицо, которому делегирована эта обязанность. Доступ предоставляется только для выполнения служебных обязанностей. Сюда относится периодическая проверка списка доступа и немедленное удаление из него лиц, которым этот доступ стал не нужен;

• отдел поддержки сети отвечает за поддержку функционирования межсетевого экрана между производственной сетью и лабораторией;

• отдел поддержки сети и отдел информационной безопасности имеют право заблокировать любые соединения к/от оборудованию лаборатории, если это несет угрозу безопасности сети компании;

• отдел поддержки сети должен иметь список всех IP-адресов и ответственных за оборудование лиц внутренней лаборатории (такой же список хранится в системе управления компанией, если такая существует);

• любая лаборатория, которая захочет иметь доступ за свои границы, должна предоставить документацию в отдел информационной безопасности с аргументированным обоснованием такого доступа, списком оборудования, необходимого для этого, и информацию по IP-адресации. Отдел информационной безопасности исследует документы и разрешает/не разрешает такой доступ;

• все пользовательские пароли должны соответствовать политике использования паролей. Тестовые учетные записи должны быть удалены в течение трех дней после того, как доступ станет ненужным. Пароли на групповые учетные записи необходимо менять ежеквартально, кроме того, они должны быть изменены в течение трех дней после изменения состава членов группы;

• запрещается поддерживать производственные сервисы на оборудовании лаборатории;

• отдел информационной безопасности будет разбирать каждый случай отказа в доступе.

Основные требования к конфигурации:

• весь трафик между производственной сетью и сетью лаборатории должен проходить через межсетевой экран, поддерживаемый отделом поддержки сети. Сетевые устройства лаборатории (включая беспроводные) не должны каким-либо другим способом соединяться с внутренней и производственной сетью компании;

• в лаборатории запрещена деятельность, которая может негативно сказаться на производственной сети, типа сканирования портов, спуфинг IP-адресов, трафика и т. д. Такого рода деятельность должна быть ограничена рамками лаборатории;

• трафик между лабораторией и производственной сетью, так же как трафик между отдельными сетями лаборатории, используется только в деловых целях и не должен оказывать негативное влияние на другие сети. Лаборатории не должны иметь сетевые сервисы, которые могут скомпрометировать сервисы производственной сети или подвергнуть опасности конфиденциальную информацию, хранимую внутри лаборатории;

• отдел информационной безопасности имеет право проводить аудит всех данных внутри лаборатории, входящего и исходящего трафика, конфигурации всего оборудования;

• шлюзы лаборатории должны соответствовать стандартам безопасности компании и доступ к ним должен осуществляться через сервер аутентификации компании;

• пароли администрирования шлюзов не должны совпадать с какими-либо паролями на другое оборудование. Пароли должны соответствовать политике использования паролей. Пароли будут предоставляться только тем, кому разрешено администрировать сеть лаборатории;

• в лабораториях, где сотрудники сторонних организаций имеют физический доступ к оборудованию, прямое подключение к производственной сети компании запрещено. В соответствии с политикой классификации информации запрещается размещать и хранить конфиденциальную информацию на оборудовании внутренней лаборатории. Удаленное подключение разрешенного списка сотрудников лаборатории в производственную сеть компании должно быть аутентифицировано на корпоративном сервере аутентификации с использованием временных списков доступа (lock and key access control lists) и осуществляться по защищенным протоколам (SSH, IPSEC) или посредством виртуальной частной сети, как определено отделом информационной безопасности;

• инфраструктурные устройства, например IP-телефоны, которым необходим доступ в сеть компании, должны соответствовать политике открытых областей;

• все внешние соединения в лабораторию должны быть осуществлены после исследования и получения разрешения от отдела информационной безопасности. Аналоговые или ISDN-линии должны быть сконфигурированы на прием звонков только с определенных телефонных номеров. Для аутентификации необходимо использовать устойчивые к взлому пароли;

• все лаборатории, имеющие внешние соединения, не должны иметь доступа к производственной или внутренней сетям компании напрямую или через беспроводные сети.

Термины и определения

Граница ответственности отдела поддержки сети – точка, в которой ответственность за поддержку сети переходит от отдела поддержки сети к сотрудникам внутренней лаборатории. Обычно это маршрутизатор или межсетевой экран.

Менеджер лаборатории – сотрудник, ответственный за всю лабораторию и ее персонал.

Межсетевой экран – устройство, контролирующее доступ между сетями, такое как Cisco PIX, маршрутизатор со списками доступа, или подобное устройство, определенное отделом информационной безопасности.

17. Политика экстранета

Цель

Документ описывает политику, которую должны выполнять сторонние организации, подключающиеся к сети компании для ведения совместного бизнеса.

Область действия Все соединения к внутренним ресурсам компании, независимо от того, осуществлены они через сети типа Frame Relay, ISDN или посредством виртуальной частной сети, подпадают под действие этой политики. Соединения с поставщиком услуг Интернета и с телефонными сетями общего доступа не подпадают под действие этой политики.

Суть политики

Предпосылки:

оценка безопасности;

Все новые экстранет-подключения будут оцениваться на предмет обеспечения безопасности отделом информационной безопасности. Эта оценка будет гарантировать, что подключения наилучшим образом соответствуют бизнес-по– требностям компании и принципам обеспечения наименьшего доступа.

соглашение о подключении со сторонними организациями;

Для выполнения запроса на новое подключение между сторонней организацией и компанией требуется подписание «Соглашения со сторонней организацией» между ней и уполномоченным представителем компании. Это соглашение подписывают вице-президент компании и уполномоченный представитель сторонней организации. Документы, относящиеся к подключениям к лабораториям компании, хранятся в отделе, отвечающем за безопасность данной лаборатории.

бизнес-потребность;

Все экстранет-подключения должны выполняться только для ведения бизнеса с письменным описанием необходимости такого подключения и с разрешением от менеджера проекта. Подключения к лаборатории должны быть разрешены сотрудником, отвечающим за безопасность лаборатории. Обычно порядок подключения описывается как часть «Соглашения со сторонней организацией».

контактные лица.

Сторонняя организация обязана определить сотрудника, ответственного за данное подключение. Это контактное лицо ответственно за выполнение своей части «Соглашения со сторонней организацией». При изменении контактного лица организацией компания должна быть незамедлительно проинформирована.